Convenant Digitale Onderwijsmiddelen en Privacy 3.0

Transcriptie

1 Convenant Digitale Onderwijsmiddelen en Privacy 3.0 Convenant over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met Persoonsgegevens die worden verwerkt in het kader van het gebruik van Digitale Onderwijsmiddelen door Onderwijsinstellingen, waaronder het gebruik van digitale leermiddelen, toetsen, administratie- en informatiesystemen. De Initiatiefnemers van het Convenant: de Vereniging PO-Raad de vereniging VO-raad de vereniging MBO Raad de vereniging GEU de Vereniging Digitale Onderwijs Dienstverleners leden van de sectie educatief van de coöperatie Coöperatieve Koninklijke Boekverkopersbond U.A., die het convenant als initiatiefnemer hebben ondertekend; overwegen dat: a. Onderwijsinstellingen in het primair en voortgezet onderwijs en het middelbaar beroepsonderwijs in toenemende mate gebruikmaken van Digitale Onderwijsmiddelen ten behoeve van de organisatie en het geven van onderwijs, waaronder digitale producten of diensten ten behoeve van het onderwijs(proces), zoals leermiddelen, toetsen, leerling-administratiesystemen, kernregistratiesysteem, studentinformatiesysteem, deelnemersadministraties, elektronische leeromgevingen en leerlingvolgsystemen; b. het gebruik van deze Digitale Onderwijsmiddelen grote voordelen kent. Het maakt het mogelijk onderwijs meer op maat aan te bieden aan leerlingen en studenten: een wens die in Nederland steeds breder wordt gedeeld; c. een voorwaarde voor het gebruik van Digitale Onderwijsmiddelen is dat duidelijke afspraken worden gemaakt over de Verwerking van Persoonsgegevens. Met name leerlingen in het primair en voorgezet onderwijs vormen op het punt van de bescherming van Persoonsgegevens een kwetsbare groep. Het is daarom belangrijk dat Onderwijsinstellingen met alle partijen (leveranciers en aanbieders) die in dit kader ten behoeve van de Onderwijsinstellingen Persoonsgegevens Verwerken goede afspraken maken over het regelen en borgen van privacy; d. ten behoeve van deze voorwaarde in het Convenant afspraken worden vastgelegd tussen de PO-Raad, VO-raad, MBO Raad en de leden van de brancheorganisaties van aanbieders van leermiddelen, toetsen en educatieve dienstverlening (GEU), leveranciers van diensten en systemen in onderwijs-ict (Vereniging Digitale Onderwijs Dienstverleners), en schoolleveranciers/distributeurs (sectie educatief van de Koninklijke Boekverkopersbond); Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 1 van 20

2 e. uitgangspunt bij deze afspraken is dat de Onderwijsinstellingen de regie hebben en houden over de (Verwerking van) Persoonsgegevens en bepalen aan wie de gegevens mogen worden verstrekt. De Onderwijsinstellingen zijn de Verwerkingsverantwoordelijken voor de Verwerkingen van Persoonsgegevens in de zin van het Convenant; f. het Convenant Digitale Onderwijsmiddelen en Privacy 2.0 uit 2016 aanpassing behoeft in verband met het van kracht worden van de Europese Algemene Verordening Gegevensbescherming op 25 mei 2018, en in verband met het aansluiten van de mbosector op het Convenant, welke aanpassingen zijn opgenomen in dit Convenant Digitale Onderwijsmiddelen en Privacy 3.0, dat in de plaats treedt van de eerder vastgestelde convenanten; g. bij het Convenant een toelichting hoort met uitleg en voorbeelden ter verduidelijking; en wensen de navolgende afspraken vast te leggen: Artikel 1: Definities In het Convenant en de bijlagen wordt verstaan onder: a. Betrokkene, Bekendmaking, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, Verstrekking, en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG; b. Bijlage(n): bijlage(n) bij het Convenant of de Verwerkersovereenkomst; c. Convenant: het Convenant Digitale Onderwijsmiddelen en Privacy 3.0; d. Convenantpartij: een tot het Convenant toegetreden Onderwijsinstelling of Leverancier; e. Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG; f. Digitaal Onderwijsmiddel: Leermiddelen en Toetsen, en School- en Leerlinginformatiemiddelen; g. Initiatiefnemers: partijen die de initiatiefnemers zijn van het Convenant als opgenomen in de aanhef van het Convenant; h. Keten id: een pseudoniem van een persoonsgebonden nummer van een Onderwijsdeelnemer dat de Onderwijsdeelnemer niet langer direct identificeerbaar maakt. Hierna wordt dat pseudoniem opnieuw versleuteld tot het Keten id, dat voor identificatiedoeleinden gebruikt wordt voor de toegang tot en het gebruik van Digitale Onderwijsmiddelen. Het Keten id wordt ook ECK id genoemd; i. Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijsleersituaties, ten behoeve van het geven van onderwijs door of namens Onderwijsinstellingen; j. Leverancier: leverancier van een Digitaal Onderwijsmiddel, zoals bijvoorbeeld een distributeur, uitgever of leverancier van een administratiesysteem; k. Model Verwerkersovereenkomst: het model voor een verwerkersovereenkomst die als bijlage is bijgevoegd bij het Convenant; l. Onderwijsdeelnemer: onderwijsdeelnemer in het primair onderwijs, voortgezet onderwijs of middelbaar beroepsonderwijs; m. Platform: het platform als bedoeld in artikel 8 van het Convenant, thans bekend als Edu-K; Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 2 van 20

3 n. Privacybijsluiter: één of meerdere privacybijsluiter(s) zoals opgenomen in Bijlage 1 bij de Model Verwerkersovereenkomst, die van toepassing zijn op (het gebruik van) de aangeboden Digitale Onderwijsmiddelen; o. Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en Verwerker, zoals omschreven in overweging a van de Model Verwerkersovereenkomst, dan wel de overeenkomst tussen een Onderwijsdeelnemer en Leverancier voor het product of dienst zoals omschreven in overweging a van de Model Verwerkersovereenkomst; p. Reglement: het reglement als bedoeld in artikel 8 lid 4 van het Convenant; q. School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten behoeve van het onderwijs(proces), zoals een leerlingadministratiesysteem, kernregistratiesysteem, studentinformatiesysteem, deelnemersadministratie, roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, dashboards en kwaliteitsmanagementsystemen voor zover zij Persoonsgegevens van Onderwijsdeelnemers bevatten, een elektronische leeromgeving en een leerlingvolgsysteem; r. Standaardattributenset: de door het Platform vastgestelde aanvullende gestandaardiseerde Persoonsgegevens van Onderwijsdeelnemers die naast het Keten id gebruikt kunnen worden voor de toegang tot en het gebruik van Digitale Onderwijsmiddelen (zoals gepubliceerd op de website van het Platform); s. Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Model Verwerkersovereenkomst en de Product- en Dienstenovereenkomst; t. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG). Artikel 2: Doel en reikwijdte van het Convenant 1. Doel van het Convenant is om waarborgen te creëren voor de zorgvuldige omgang met Persoonsgegevens door Onderwijsinstellingen en Leveranciers die worden Verwerkt in het kader van het gebruik van Digitale Onderwijsmiddelen. 2. De reikwijdte van het Convenant strekt zich uit tot Verwerking van Persoonsgegevens door of in opdracht van Onderwijsinstellingen in het kader van het gebruik van Digitale Onderwijsmiddelen. 3. Het Convenant is niet van toepassing op eventuele Verwerkingen waarvoor Leveranciers zelf Verwerkingsverantwoordelijke zijn. Artikel 3: Rolverdeling 1. Voor Verwerkingen van Persoonsgegevens in de zin van het Convenant is de Onderwijsinstelling de Verwerkingsverantwoordelijke en de Leverancier de Verwerker. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens. 2. De Leverancier draagt er zorg voor dat de Onderwijsinstelling (voorafgaand) wordt geïnformeerd over de diensten die door hem worden verleend in relatie tot de Verwerking Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 3 van 20

4 van Persoonsgegevens, en keuzes die een Onderwijsinstelling daarbij heeft. De Onderwijsinstelling geeft vervolgens aan de Leverancier aan met welke Verwerking van Persoonsgegevens en daarbij behorende diensten zij in het kader van het gebruik van Digitale Onderwijsmiddelen akkoord gaat. 3. Convenantpartijen en Initiatiefnemers achten het van groot belang, en stimuleren in dat kader, dat Onderwijsinstellingen en Leveranciers op de hoogte zijn van verplichtingen op grond van de AVG en deze naleven. 4. De PO-Raad, VO-raad en MBO Raad zullen Onderwijsinstellingen ondersteunen bij vragen over de uitleg van het Convenant en de Model Verwerkersovereenkomst. Artikel 4: Verwerkersovereenkomst 1. Als bijlage bij het Convenant is de Model Verwerkersovereenkomst opgenomen. 2. Onderwijsinstellingen en Leveranciers maken bij afspraken over Digitale Onderwijsmiddelen waarbij Persoonsgegevens worden Verwerkt gebruik van de Model Verwerkersovereenkomst. Van de inhoud van de Model Verwerkersovereenkomst kan tussen deze partijen slechts schriftelijk en gemotiveerd worden afgeweken. 3. Ten behoeve van de invulling van de afspraak in het tweede lid van dit artikel, zullen Initiatiefnemers, onder meer via voorlichting en ondersteuning, stimuleren dat bij het maken van afspraken tussen Onderwijsinstellingen en Leveranciers gebruik wordt gemaakt van de Model Verwerkersovereenkomst. 4. In de verwerkersovereenkomst die tussen Onderwijsinstelling en Leveranciers wordt gesloten, worden minimaal afspraken gemaakt zoals opgenomen in artikel 28 van de AVG, alsmede over de volgende onderwerpen: aard en doeleinden van de Verwerking van Persoonsgegevens zoals toegestaan in artikel 5 van het Convenant; de tussen partijen afgesproken rolverdeling; het inschakelen van Subverwerkers; de voorwaarden bij doorgifte van gegevens naar landen en internationale organisaties buiten de EER; de wijze van afhandeling van incidenten waaronder Datalekken; de procedure in verband met de rechten van de Betrokkenen; de informatieverschaffing met betrekking tot de Verwerking van Persoonsgegevens in het kader van gebruik van Digitale Onderwijsmiddelen aan de Onderwijsinstelling mede ten behoeve van de Onderwijsdeelnemers en ouders; overzicht met betrekking tot het beveiligingsbeleid en de te treffen beveiligingsmaatregelen, waaronder het gebruik van de beveiligingsnormen en richtlijnen die in het Platform zijn/worden besproken. Artikel 5: Doeleinden van de Verwerkingen in het kader van het Convenant 1. De Verwerking van Persoonsgegevens met behulp van Leermiddelen en Toetsen vindt plaats ten behoeve van: Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 4 van 20

5 a. het met gebruikmaking van het Digitale Onderwijsmiddel geven en volgen van onderwijs en het begeleiden en volgen van Onderwijsdeelnemers, waaronder: de opslag van leer- en toetsresultaten; het terugontvangen door de Onderwijsinstelling van leer- en toetsresultaten; de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen verkrijgen dat is afgestemd op de specifieke leerbehoefte van een Onderwijsdeelnemer; analyse en interpretatie van leerresultaten; het kunnen uitwisselen van leer- en toetsresultaten tussen Digitale Onderwijsmiddelen. b. het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier; c. het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen, en externe informatiesystemen, waaronder de identificatie, authenticatie en autorisatie; d. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van het Digitale Onderwijsmiddel Verwerkte, Persoonsgegevens; e. de continuïteit en goede werking van het Digitale Onderwijsmiddel conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning; f. onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling; g. het door de Onderwijsinstelling voor onderzoeks- en analyse doeleinden beschikbaar kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren; h. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Digitale Onderwijsmiddelen; i. de uitvoering of toepassing van een andere wet. 2. De Verwerking van Persoonsgegevens met behulp van School- en Leerlinginformatiesystemen vindt plaats ten behoeve van: a. de organisatie, het geven en volgen van onderwijs, het begeleiden en volgen van Onderwijsdeelnemers of het geven van school- en studieadviezen, waaronder: de indeling en aanpassing van roosters; de analyse en interpretatie van leerresultaten; het bijhouden van persoonlijke (waaronder medische) omstandigheden van een Onderwijsdeelnemer en de gevolgen daarvan voor het volgen van onderwijs; Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 5 van 20

6 het begeleiden en ondersteunen van leerkrachten en andere medewerkers binnen de Onderwijsinstelling; de communicatie met Onderwijsdeelnemers en ouders en medewerkers van de onderwijsinstelling; financieel beheer; monitoring en verantwoording, ten behoeve van met name: (prestatie)metingen van de Onderwijsinstelling, kwaliteitszorg, tevredenheidsonderzoek, effectiviteitsonderzoek van onderwijs(vorm) of de geboden ondersteuning van Onderwijsdeelnemers bij passend onderwijs; het behandelen van geschillen. het uitwisselen van Persoonsgegevens met Derden, waaronder: toezichthoudende instanties en zorginstellingen in het kader van de uitvoering van hun (wettelijke) taak; samenwerkingsverbanden in het kader van passend onderwijs, regionale overstappen; partijen betrokken bij de invulling van stage of leer-/ werkplekken voor zover noodzakelijk en wettelijk toegestaan; Onderwijsinstellingen ingeval van overstappen tussen onderwijsinstellingen en bij vervolgonderwijs. b. het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier; c. het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen, en externe informatiesystemen, waaronder de identificatie, authenticatie en autorisatie; d. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van het Digitale Onderwijsmiddel, Verwerkte Persoonsgegevens; e. de continuïteit en goede werking van het Digitale Onderwijsmiddel conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning; f. onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling; g. het door de Onderwijsinstelling voor onderzoeks- en analyse doeleinden beschikbaar kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren; h. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Digitale Onderwijsmiddelen; i. de uitvoering of toepassing van een andere wet. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 6 van 20

7 3. De Verwerking van Persoonsgegevens met betrekking tot Digitale Onderwijsmiddelen vindt nooit plaats voor reclamedoeleinden of het doen van ongevraagde aanbiedingen door Leveranciers. 4. Er vindt door Leveranciers geen verstrekking van Persoonsgegevens aan Derden plaats, tenzij deze uitwisseling plaatsvindt in opdracht van en met instemming van de Onderwijsinstelling of wanneer dit noodzakelijk is om te voldoen aan een eventuele afwijkende Unierechtelijke of lidstaatrechtelijke bepaling op grond waarvan Leverancier tot verstrekken verplicht is, waaronder maar niet beperkt tot het voldoen aan een gerechtelijke uitspraak. Artikel 6: Gegevensbescherming door ontwerp en door standaardinstellingen 1. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen zijn uitgangspunt bij de (door)ontwikkeling van de door Onderwijsinstellingen gebruikte Digitale Onderwijsmiddelen. Binnen het Platform worden uitgangspunten en richtlijnen opgesteld hoe hier concreet invulling aan kan worden gegeven, waaronder de mogelijkheid van het toepassen van pseudoniemen. 2. Onderwijsinstellingen en Leveranciers maken in het kader van de toegang tot en het gebruik van Digitale Onderwijsmiddelen in beginsel gebruik van het Keten id en de bijbehorende Standaardattributenset. Indien een van de desbetreffende partijen aangeeft dat dit redelijkerwijs niet van haar kan worden gevergd, dient dit voldoende gemotiveerd te worden vastgelegd. 3. Indien bij algemene maatregel van bestuur voor andere gevallen dan genoemd in lid 2 besloten wordt tot het gebruik van een nieuw pseudoniem, dan maken partijen binnen het Platform afspraken over het gebruik daarvan. 4. Partijen zijn gehouden passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat alleen Persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek overeengekomen doel van de verwerking. Artikel 7: Wettelijke informatieverplichtingen 1. De Onderwijsinstelling informeert, al dan niet met gebruikmaking van door de Verwerker geleverde informatie als bedoeld in artikel 3 lid 2, de (ouders van) Onderwijsdeelnemers van wie Persoonsgegevens worden Verwerkt in een Digitaal Onderwijsmiddel en welke maatregelen er zijn getroffen om de privacy volgens de afspraken in het Convenant te kunnen waarborgen. 2. De (ouders van) Onderwijsdeelnemers worden bij deze informatieverstrekking erop gewezen hoe zij gebruik kunnen maken van de wettelijke rechten van de Betrokkene. Voor de uitoefening van deze rechten dienen Betrokkenen zich te wenden tot de Onderwijsinstelling. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 7 van 20

8 Artikel 8: Het Platform 1. Het nader vormgeven van de samenwerking tussen de Initiatiefnemers, Onderwijsinstellingen en Leveranciers en het borgen van de afspraken op basis van dit Convenant, vindt plaats binnen een Platform waarin Initiatiefnemers zitting hebben. 2. In het kader van het Platform zijn de Initiatiefnemers gezamenlijk verantwoordelijk voor het nader vormgeven, overleg voeren, en uitvoeren van afspraken over onder meer: de periodieke evaluatie van de afspraken en de onderwerpen van het Convenant; het toezicht op het naleven, en handhaven van het Convenant; de voortgang van de uitvoering van het Convenant; het delen van informatie m.b.t. de onderwerpen die in het Convenant zijn geregeld; de invloed van nieuwe wetgeving, technologische of andere ontwikkelingen op het Convenant en de werking van het Convenant in de praktijk en behoefte aan ondersteuning of instrumenten daarbij, een en ander op basis van risicoanalyses en best practices; het te realiseren niveau van informatiebeveiliging, waaronder de beveiligingsnormen, de beveiligingsaudits, de toegang tot de Persoonsgegevens en de afhandeling van incidenten. 3. De Initiatiefnemers dragen gezamenlijk zorg voor de continuïteit en de facilitering van het Platform voor zover dit betrekking heeft op afspraken zoals vastgelegd in dit convenant. 4. De Initiatiefnemers zullen in gezamenlijkheid en in onderling overleg nadere afspraken maken over de procedure in verband met de wijziging van het Convenant, alsmede over de governance, de besluitvorming en de bevoegdheden. Deze afspraken worden vastgelegd in een Reglement. 5. Voor zover de besluitvormingsprocedure, waaronder de mogelijkheid tot het doorvoeren van wijzigingen, nog niet is geregeld middels het Reglement geschiedt besluitvorming en wijziging van het Convenant slechts met instemming van alle Initiatiefnemers die op het moment van besluitvorming aangesloten zijn bij het Convenant. 6. Het Platform stelt een beeldmerk ter beschikking voor bij het Convenant aangesloten Leveranciers. Het Platform kan nadere voorwaarden stellen aan het gebruik van dit beeldmerk. 7. Voor zover van toepassing vertegenwoordigen de Initiatiefnemers binnen het Platform hun leden en rapporteren zij over resultaten van het overleg in het Platform. Onderwijsinstellingen worden in het Platform in beginsel vertegenwoordigd door de PO- Raad, VO-raad en MBO Raad. 8. De PO-raad, VO-raad en MBO Raad dragen zorg voor het beheer van de uit het Convenant voorkomende activiteiten waaronder het secretariaat van het Platform en een register van Convenantpartijen. Artikel 9: Financiering Binnen het Platform worden afspraken gemaakt over de financiering van de kosten in verband met het Convenant en voor deelname aan en instandhouding van het Platform. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 8 van 20

9 Artikel 10: Naleving 1. Het Platform stelt een structuur vast voor monitoring van en controle op de naleving van de afspraken binnen het Convenant. 2. Het Platform is namens de Initiatiefnemers, Onderwijsinstellingen en Leveranciers bevoegd op te treden tegen geconstateerd misbruik of oneigenlijk gebruik van het Convenant of de Model Verwerkersovereenkomst. De hiertoe aan het Platform toegekende bevoegdheden en werkwijze worden opgenomen in het Reglement. 3. Onderwijsinstellingen en Leveranciers nemen, voor zover mogelijk, afspraken met betrekking tot de naleving van het Convenant op in onderlinge afspraken, contracten - onder meer in het kader van aanbestedingen - en spreken elkaar onderling hierop aan. 4. Vraagstukken dan wel geschillen betreffende de interpretatie of uitvoering van de bepalingen in het Convenant worden in onderling overleg in het Platform dan wel op een nader in het Reglement op te nemen wijze behandeld. 5. De bepalingen in het Convenant zijn niet in rechte afdwingbaar, tenzij daarover in de verwerkersovereenkomst tussen partijen afspraken zijn gemaakt. Artikel 11: Inwerkingtreding, toetreding en uittreding 1. De vereniging GEU, de Vereniging Digitale Onderwijs Dienstverleners, leden van de sectie educatief van de coöperatie Coöperatieve Koninklijke Boekverkopersbond U.A., en de Vereniging PO-Raad, VO-raad en MBO Raad die de bij hen aangesloten besturen van Onderwijsinstellingen vertegenwoordigen, hebben door ondertekening de uitgangspunten en afspraken van het Convenant onderschreven. 2. Het Platform stelt nieuwe versies van het Convenant en de Model Verwerkersovereenkomst vast en maakt dit bekend aan de Deelnemers van het Convenant. 3. De datum van inwerkingtreding van het Convenant en opvolgende versies wordt vastgesteld door het Platform. De nieuwe versie van Convenant komt in de plaats van de voorgaande versies die hierdoor geacht worden te zijn vervallen. 4. Nog niet bij het Convenant aangesloten Leveranciers en niet door de PO-Raad, VO-raad en MBO Raad vertegenwoordigde Onderwijsinstellingen kunnen zich aansluiten bij het Convenant door middel van een ondertekening van door het Platform vastgestelde verklaring en toezending daarvan aan het secretariaat van het Platform. 5. Het Convenant is aangegaan voor onbepaalde duur of tot inwerkingtreding van een volgende versie. 6. Een Initiatiefnemer of een Convenantpartij kan deelname aan het Convenant opzeggen. Deze opzegging geschiedt schriftelijk en dient te worden gericht aan het secretariaat van het Platform. Dit Convenant is vastgesteld op 14 maart 2018 door Edu-K en treedt per 1 april 2018 in werking. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 9 van 20

10 Algemene toelichting Vertegenwoordigers van onderwijsinstellingen en leveranciers hebben gezamenlijk het initiatief genomen om afspraken te maken over het regelen en borgen van de persoonlijke levenssfeer van personen over wie persoonsgegevens worden verwerkt in het kader van het gebruik van digitale onderwijsmiddelen door onderwijsinstellingen, waaronder het gebruik van leermiddelen, toetsen, administratie- en informatiesystemen. Het uitgangspunt bij de afspraken is dat de onderwijsinstellingen de regie hebben en houden over de verwerking van persoonsgegevens, en zelf bepalen waarvoor de gegevens worden gebruikt of aan wie de gegevens mogen worden verstrekt. De onderwijsinstellingen zijn daarbij de verwerkingsverantwoordelijke voor de verwerkingen van persoonsgegevens, de leveranciers de verwerker. De afspraken zijn vastgelegd in het Convenant Digitale Onderwijsmiddelen en Privacy 3.0. Dit convenant treedt op 1 april 2018 in de plaats van het Convenant Digitale Onderwijsmiddelen en Privacy, leermiddelen en toetsen 2.0, uit Wijzigingen convenant 3.0 t.o.v. convenant 2.0 Algemene verordening gegevensbescherming (AVG) De Nederlandse Wet bescherming persoonsgegevens is/wordt op 25 mei 2018 vervangen door de AVG, dit heeft impact op het convenant: in de eerste plaats is dit tekstueel. Bijvoorbeeld: de verantwoordelijke heet in de nieuwe wet een verwerkingsverantwoordelijke, de bewerker noemen we voortaan verwerker en er is geen sprake meer van een bewerkersovereenkomst, maar van een verwerkersovereenkomst. In het convenant zijn verder geen grote wijzigingen n.a.v. de AVG. Wel is in lijn met de AVG een aantal aanpassingen doorgevoerd in de model verwerkersovereenkomst, zoals bepalingen over het verlenen van bijstand en over aansprakelijkheid. Zie hiervoor ook de toelichting bij artikel 4. Uitbreiding met het mbo Versie 3.0 van het convenant is nu ook van toepassing op het mbo. Daartoe is de MBO Raad als initiatiefnemer aangesloten bij het convenant. Naast enkele tekstuele wijzigingen (zoals onderwijsdeelnemer in plaats van leerling) heeft dit niet geleid tot inhoudelijke wijzigingen. Wel vraagt artikel 2 lid 3 nadere interpretatie. Voor de situaties waarin de onderwijsinstelling de onderwijsmiddelen koopt (zoals toetsen of administratiesystemen) is de situatie in alle opzichten gelijk aan de praktijk in het po en vo. Zie verder de toelichting bij artikel 2 lid 3. De nieuwe model verwerkersovereenkomst 3.0 komt in de plaats van de model verwerkersovereenkomst uit Reeds afgesloten verwerkersovereenkomsten op basis van het oude model uit 2016 blijven in beginsel hun gelding houden totdat deze verwerkersovereenkomsten door partijen worden beëindigd en aansluitend worden opgevolgd door een nieuwe verwerkersovereenkomst op basis van de nieuwe model verwerkersovereenkomst 3.0. Versie 3.0 is afgestemd op de aanvullende eisen in de AVG. Om er zeker van te zijn dat partijen compliant zijn aan de AVG is het advies om alleen nog versie 3.0 van de verwerkersovereenkomst te hanteren en oudere versies te vervangen. Het convenant is in belangrijke mate een concretisering van verplichtingen die uit de AVG voorvloeien. Als zodanig is het te zien als een uitgewerkte regeling om met behulp van gemeenschappelijk aanvaarde afspraken de onderwijsinstellingen en leveranciers te Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 10 van 20

11 ondersteunen bij de naleving van de wettelijke regels. Naast de rolverdeling tussen de partijen geeft het convenant de uitgangspunten aan voor afspraken tussen de onderwijsinstelling en de leverancier die moeten worden vastgelegd in het wettelijk verplichte schriftelijke afspraken. Als bijlage bij het convenant is een daarvoor een model verwerkersovereenkomst opgenomen. De uitgangspunten van dit model sluiten niet alleen aan bij de bepalingen in het convenant, maar ook de voorschriften in de AVG, en de uitgangspunten zoals de toezichthouder deze in richtsnoeren en uitspraken heeft aangegeven. Het convenant beschrijft de doeleinden bij het verwerken van persoonsgegevens door de onderwijsinstelling in het kader van het convenant. Naast doeleinden voor de verwerking van persoonsgegevens met behulp van leermiddelen en toetsen, bevat het convenant ook de doelstellingen voor het verwerken van persoonsgegevens met behulp van school- en leerlinginformatiesystemen. De doelstellingen die betrekking hebben op school- en leerlinginformatiesystemen zijn breed geformuleerd. Dit heeft vooral te maken met de verscheidenheid aan producten en diensten van leveranciers van school- en leerlinginformatiesystemen. Een leverancier van school- en leerlinginformatiesystemen moet in de bijlage bij de model verwerkersovereenkomst wel aangeven welke van de doelstellingen op het aangeboden product of de dienst van toepassing zijn. Het convenant regelt daarnaast de inrichting van een platform waarin de initiatiefnemers van het convenant en de leveranciers zitting hebben. Dit platform dient om de afspraken te bewaken en zo nodig aan te passen aan gewijzigde regelgeving, technische ontwikkelingen, of inzichten. Om aan wet- en regelgeving op het gebied van informatiebeveiliging en privacy te voldoen moet een onderwijsinstelling ook andere maatregelen treffen naast het sluiten van goede verwerkersovereenkomsten met leveranciers. Om onderwijsinstellingen hierbij te ondersteunen hebben Kennisnet en sambo-ict, in samenwerking met de PO-Raad, VO-raad en MBO Raad, informatie, stappenplannen en voorbeelddocumenten ontwikkeld. Deze zijn voor onderwijsinstellingen gebundeld en beschikbaar in de Aanpak informatiebeveiliging en privacy voor het po en vo, en in het Framework IBP voor het mbo. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 11 van 20

12 Toelichting bij de artikelen Artikel 1 Digitaal onderwijsmiddel Onder digitale onderwijsmiddelen worden in het convenant verstaan: i) leermiddelen en toetsen, en ii) school- en leerlinginformatiemiddelen. Onder leermiddelen en toetsen vallen digitale producten of diensten bestaande uit leerstof of toetsen en de daarmee samenhangende digitale diensten gericht op of in verband met onderwijsleersituaties, bedoeld voor het geven van onderwijs door of namens de onderwijsinstelling. Hiertoe worden ook testen, evaluaties en adviezen, gericht op onderwijssituaties en/of onderwijsondersteuning gerekend. Onder schoolen leerlinginformatiemiddelen vallen digitale producten of diensten ten behoeve van het onderwijs(proces), zoals een leerlingadministratiesysteem, roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, een elektronische leeromgeving en een leerlingvolgsysteem. Leveranciers Bij het gebruik van digitale onderwijsmiddelen worden persoonsgegevens verwerkt. Het gaat daarbij niet alleen om de opslag, maar bijvoorbeeld ook om de toegang, doorgifte, verzending en analyse van de gegevens. Hierbij vindt verwerking van gegevens plaats via onder meer leerlingadministratiesystemen, leerlingvolgsystemen, leeromgevingen en de systemen die leermiddelen en toetsen beschikbaar stellen. Gezamenlijk vormen ze het gegevensverwerkende proces rond onderwijsmiddelen. Onderwijsinstelling Daar waar in dit convenant wordt gesproken over onderwijsinstelling wordt het bevoegd gezag van een po-school, vo-school respectievelijk mbo-school bedoeld. Convenantpartij Leveranciers, en onderwijsinstellingen die niet worden vertegenwoordigd door de PO-Raad, de VO-raad of de MBO Raad, kunnen toetreden tot het convenant en worden daarmee convenantpartij. Voor wat betreft de toetreding geeft artikel 11 van het convenant de voorwaarden. Artikel 2 Het convenant ziet op alle verwerkingen van persoonsgegevens door of in opdracht van onderwijsinstellingen die plaatsvinden in het kader van het gebruik van digitale onderwijsmiddelen. Het kan daarbij ook gaan om het verwerken van zogenaamde bijzondere gegevens in de zin van artikel 9 AVG, zoals gegevens met betrekking tot de gezondheid (bijv. dyslexie). Onder de verwerkingen in het kader van het gebruik van digitale onderwijsmiddelen vallen niet alleen de verwerkingen van gegevens met digitale onderwijsmiddelen, maar ook verwerkingen in het kader van het verschaffen van toegang tot, het gebruik, de levering, de distributie en het onderhoud, en de ondersteuning van deze digitale onderwijsmiddelen. Daarnaast ziet het ook op de uitwisselingen van persoonsgegevens die in dat verband plaatsvinden tussen onderwijsinstellingen en leveranciers, en leveranciers onderling. Bij bovenstaande verwerkingen gaat het dus ook over de uitwisseling en opslag via een leerlingadministratiesysteem, roostersysteem, ouderportaal, leerling- en oudercommunicatie- Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 12 van 20

13 systeem, een elektronische leeromgeving of een leerlingvolgsysteem en de systemen die leermiddelen en toetsen beschikbaar stellen. Artikel 2 lid 3 van het privacyconvenant maakt duidelijk dat leveranciers zelf verwerkingsverantwoordelijke kunnen zijn. In die situaties is het convenant niet van toepassing. Ten aanzien van het mbo geldt bijvoorbeeld dat als een andere persoon dan de onderwijsinstelling een digitaal onderwijsmiddel bestelt (bijvoorbeeld maar niet beperkt tot de student of ouder), de leverancier bij wie het onderwijsmiddel wordt besteld de verwerkingsverantwoordelijke is. Op deze regel geldt als uitzondering de situatie waarin gebruik wordt gemaakt van de ECK-route 1 en door de onderwijsinstelling daarbij behorende persoonsgegevens worden uitgewisseld met de leverancier; in dit geval is de onderwijsinstelling verwerkingsverantwoordelijke voor de verwerking van die persoonsgegevens. Gegevens die een student zelf (of een ander dan de onderwijsinstelling) verstrekt aan een leverancier (zoals adres- of bankgegevens) vallen niet onder het convenant. Het kan hierbij ook gaan om gegevens die door een onderwijsinstelling met de leverancier zijn uitgewisseld en die door deze leverancier worden gebruikt voor de uitvoering van de bestelopdracht. Ook het gebruik van digitale onderwijsmiddelen waarbij géén persoonsgegevens worden verwerkt valt buiten de scope van het convenant. Voor de duidelijkheid: in het geval dat de mbo-instelling zelf digitale onderwijsmiddelen bestelt, is de mbo-instelling altijd verwerkingsverantwoordelijke en is het convenant dus van toepassing. Artikel 3 De rolverdeling die hier wordt beschreven stelt nadrukkelijke eisen aan beide partijen. De onderwijsinstelling moet de verantwoordelijkheid voor de verwerkingen op zich nemen, en daarnaar handelen. Dat zal in de praktijk echter niet altijd eenvoudig zijn. De onderwijsinstelling moet voor het maken van keuzes en beslissingen die voorvloeien uit de verplichtingen die op basis van de wet op een verwerkingsverantwoordelijke voor persoonsgegevens rusten, over voldoende informatie beschikken om deze keuzes en beslissingen te kunnen maken. In veel gevallen zal de onderwijsinstelling echter te weinig kennis hebben over een specifieke verwerking. Dit veelal in tegenstelling tot de leverancier die in de regel juist goed op de hoogte is van de verwerkingen met behulp van de eigen producten en diensten. De leverancier dient zich daarom - als verwerker - te realiseren dat de onderwijsinstelling - als verwerkingsverantwoordelijke - over de verwerkingen met behulp van zijn diensten of producten, tijdig en toereikend moet worden geïnformeerd. Denk daarbij aan informatie over de werking van het product, de gegevens die worden verwerkt, de beveiliging, of de gegevens die met het product worden gegenereerd. Dergelijke informatie zal in de praktijk worden verschaft via de uniforme privacybijsluiter, die een bijlage vormt van de model verwerkersovereenkomst bij dit convenant. Onbedoelde rolverschuiving De onderwijsinstelling moet met name bij het maken van afspraken over de producten, diensten en bijbehorende persoonsgegevensverwerkingen goed worden geïnformeerd over de keuzes die de onderwijsinstelling daarbij heeft (artikel 3, tweede lid, convenant). Op basis van deze informatie moet de onderwijsinstelling aangeven welke producten, diensten en bijbehorende 1 De ECK-route verwijst naar de situatie waarin school en leveranciers in vo en mbo gebruik maken van de ECK-standaard Distributie en toegang om op een betrouwbare en gebruiksvriendelijke manier digitale leermiddelen te kunnen bestellen, geleverd te kunnen krijgen en te kunnen gebruiken. Met de introductie van het ECK id (een uniek nummer voor elke leerling of student) stelt dit partijen in de leermiddelenketen in staat om verdergaande dataminimalisatie toe te passen. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 13 van 20

14 gegevensverwerkingen deze daadwerkelijk wil afnemen. Als de onderwijsinstelling deze afweging en keuze niet voldoende kan maken, bestaat de kans dat niet de onderwijsinstelling maar de leverancier onbedoeld als verwerkingsverantwoordelijke in de zin van de AVG moet worden aangemerkt. Dit moet worden voorkomen. Artikel 4 Artikel 28 AVG schrijft voor dat er aan de samenwerking met de verwerker een overeenkomst ten grondslag moet liggen. Het convenant bevat als bijlage een model verwerkersovereenkomst, waarover is afgesproken dat onderwijsinstellingen en leveranciers deze gebruiken bij het maken van afspraken over de verwerking van persoonsgegevens in het kader van het convenant. Indien door specifieke omstandigheden geen gebruik kan worden gemaakt van onderdelen van de model verwerkersovereenkomst, dan kan daar alleen gemotiveerd en schriftelijk van worden afgeweken. Gezien het aantal bepalingen dat ofwel wettelijk is voorgeschreven, of waarvan de toezichthouder (de Autoriteit Persoonsgegevens), aangeeft dat deze in de verwerkersovereenkomst moeten worden opgenomen, is de ruimte voor afwijking van de bepalingen in het model beperkt. In artikel 4, vierde lid, is een niet limitatief overzicht opgenomen van onderwerpen die zijn opgenomen in de verwerkersovereenkomst. Deze onderwerpen volgen in belangrijke mate ofwel uit de wet, ofwel uit de voorwaarden die de Autoriteit Persoonsgegevens aan een verwerkersovereenkomst stelt. Bij het opstellen van de overeenkomst is gebruik gemaakt van de Richtsnoeren beveiliging van persoonsgegevens uit 2013 en de Beleidsregels meldplicht Datalekken uit 2015 van de Autoriteit Persoonsgegevens. Belangrijke onderwerpen in de model verwerkersovereenkomst zijn de rolverdeling en het voorkomen van een onbedoelde verschuiving in die rolverdeling (zie artikel 3). Een ander onderwerp is de voorwaarden bij het inschakelen van zogenaamde subverwerkers. Van een subverwerker is bijvoorbeeld sprake als een onderwijsinstelling persoonsgegevens laat verwerken in het kader van het gebruik van een leermiddel door een leverancier, waarbij deze leverancier (een deel van) de gegevensverwerking aan een andere partij uitbesteedt. De onderwijsinstelling is dan de verwerkingsverantwoordelijke in de zin van de AVG, die op zijn beurt weer een (of meerdere) subverwerkers inschakelt, afhankelijk van de wijze waarop het digitaal onderwijsmiddel is ingericht. In versie 3.0 van de model verwerkersovereenkomst is de bepaling over de mogelijkheid voor onderwijsinstellingen om een audit te laten uitvoeren bij de leverancier uitgewerkt (artikel 7). De reikwijdte van deze audit, zoals bedoeld in de bepalingen die hierover zijn opgenomen in de model verwerkersovereenkomst, beperkt zich tot hetgeen in de verwerkersovereenkomst beschreven staat. De onderwijsinstelling kan dus niet besluiten tot een audit op bijvoorbeeld situaties waarin een ander dan de onderwijsinstelling de verwerkingsverantwoordelijke is. Voor het melden van datalekken is op basis van praktijkervaringen een procedureafspraak opgenomen in artikel 8 van de model verwerkersovereenkomst. Het kan voorkomen dat er meerdere onderwijsinstellingen worden getroffen door het datalek en de communicatie met alle getroffen onderwijsinstellingen moeilijk is, bijvoorbeeld door vakantie. In die gevallen kan de verwerker, na overleg met een of meerdere getroffen schoolbesturen, een melding doen bij de Autoriteit Persoonsgegevens. Op deze wijze kan er op een praktische manier voor worden gezorgd dat de termijnen uit de AVG worden gerespecteerd. De onderwijsinstelling is en blijft verantwoordelijk voor de wettelijke meldingsplicht van een datalek. De verwerker verandert hierbij niet van rol en blijft de verwerker; de onderwijsinstelling blijft de Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 14 van 20

15 verwerkingsverantwoordelijke. Ook blijft het de verantwoordelijkheid van de leverancier om alle getroffen onderwijsinstellingen op de hoogte te brengen van de melding. De model verwerkersovereenkomst bevat in versie 3.0 tevens een bepaling over aansprakelijkheid (artikel 13). In het model wordt de aansprakelijkheidsverdeling gevolgd van artikel 82 van de AVG. Dit artikel regelt dat beide partijen hoofdelijk aansprakelijk kunnen zijn. Op grond van dit artikel kunnen partijen de schade verhalen op de andere partij. Vanwege het dwingendrechtelijke karakter van artikel 82 AVG hoeft dan geen rekening te worden gehouden met een uitsluiting of beperking van aansprakelijkheid die partijen eerder hebben afgesproken. In artikel 13 van de model verwerkersovereenkomst is ook opgenomen dat een door de toezichthouder (Autoriteit Persoonsgegevens) opgelegde boete uit hoofde van de verwerkersovereenkomst kan worden verhaald op de andere partij indien en voor zover de aan de toezichthouder betaalde geldboete toerekenbaar is aan die partij. Hierop zijn de normale wettelijke regelingen ten aanzien van schadevergoeding van toepassing. De model verwerkersovereenkomst kent twee bijlagen: de privacybijsluiter en de beveiligingsbijlage. Deze maken integraal onderdeel uit van de verwerkersovereenkomst. In de model verwerkersovereenkomst moet in de beveiligingsbijlage worden omschreven welke beveiligingsmaatregelen er worden getroffen. Volgens artikel 32 AVG zal de beveiliging een continu punt van aandacht en zorg moeten blijven. In bijlage 2 van de model verwerkersovereenkomst wordt het Certificeringsschema voor informatiebeveiliging en privacy ROSA 2 geïntroduceerd als wijze waarop invulling gegeven kan worden aan het organiseren en aantonen van de genomen beveiligingsmaatregelen. Gebruik van het Certificeringsschema is hiermee geen verplichting maar een handreiking aan alle partijen in de keten (leveranciers en scholen) om gebruik te maken van een eenduidige rapportage en set aan maatregelen om de te nemen beveiligingsmaatregelen te beoordelen en garanderen. Het Certificeringsschema is door publieke en private partijen gezamenlijk opgesteld en vastgesteld in Edustandaard 3 en wordt jaarlijks geüpdatet. Voor de invulling van zowel bijlage 1 als bijlage 2 bieden de brancheorganisaties op basis van deze bijlagen uitgewerkte branche- en/of productspecifieke bijlagen. Artikel 5 Artikel 5 bevat doeleinden voor het verwerken van persoonsgegevens in het kader van het convenant door de onderwijsinstelling in de hoedanigheid van verwerkingsverantwoordelijke voor de gegevensverwerking. Artikel 5, lid 1, onderdeel a Onderdeel a van het eerste lid ziet specifiek op de verwerking van persoonsgegevens met behulp van leermiddelen en toetsen. Dit onderdeel beschrijft als belangrijkste doelstelling het verwerken van gegevens ten behoeve van het geven en volgen van onderwijs en het begeleiden en volgen van leerlingen of studenten bij gebruikmaking van leermiddelen en toetsen. Wat betreft de in artikel 5, lid 1 genoemde beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen krijgen welke is afgestemd op de specifieke leerbehoefte van een leerling verdient het opmerking dat de beoordeling van deze resultaten niet uitsluitend hoeft plaats te Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 15 van 20

16 vinden op basis van de leer- en toetsresultaten. Ook overige binnen het leermiddel of toets beschikbare gegevens kunnen bij de beoordeling worden betrokken, zoals gebruik, geslacht of leeftijd. Dit artikel gaat niet over gegevensverwerkingen met betrekking tot proef- en docentexemplaren. Artikel 5, lid 2, onderdeel a Onderdeel a van het tweede lid ziet specifiek op de verwerking van persoonsgegevens met behulp van school- en leerlinginformatiesystemen, voor wat betreft de organisatie, het geven en volgen van onderwijs, het begeleiden en volgen van leerlingen of studenten of het geven van school- en studieadviezen. Met behulp van school- en leerlinginformatiesystemen kan een grote diversiteit aan verwerkingen plaatsvinden: van financiële administratie tot de opslag van testresultaten. Voor onderwijsinstellingen is het van groot belang dat zij een duidelijk beeld hebben voor welke doeleinden de gegevens worden verwerkt als ze gebruik maken van het product of de dienst, en welke soort gegevens daarbij worden verwerkt. In de privacybijsluiter bij de verwerkersovereenkomst moeten deze doeleinden, en daarmee de opdracht vanuit de onderwijsinstelling, concreet en transparant worden aangegeven en toegelicht. In de privacybijsluiter van het betreffende product is het derhalve wenselijk dat de leverancier zo veel mogelijk aan de hand van de hier opgenomen lijst specificeert voor welke van deze doeleinden bij gebruik van zijn product persoonsgegevens worden verwerkt. De in artikel 5, lid 2, onder a genoemde school- en studieadviezen hebben onder meer betrekking op (de administratie van) studieadviezen voor vervolgonderwijs. Het sluit uiteraard niet uit dat ook in leermiddelen en toetsen de terugkoppeling aan de onderwijsinstelling van leer- en toetsresultaten vergezeld gaat van duiding of een (studie)advies. Bij het onderdeel de analyse en interpretatie van leerresultaten in artikel 5, lid 2 onder a kan worden gedacht aan de beoordeling van gegevens over één leerling of student ten opzichte van de resultaten van een normgroep, om inzicht te krijgen hoe een leerling of student presteert ten opzichte van deze groep, maar ook aan het volgen van één leerling of student in de tijd op basis van behaalde resultaten in het kader van leergroei en ontwikkelingsperspectief. Daarnaast kan dit onderdeel betrekking hebben op de diagnose van de gegevens van één leerling of student op basis van behaalde resultaten, of de beoordeling van een groep leerlingen of studenten ten opzichte van de resultaten van een normgroep, om inzicht te krijgen hoe de groep presteert ten opzicht van een normgroep. De analyse en interpretatie van leerresultaten vinden wat betreft artikel 5, lid 1, onder a altijd plaats ten behoeve van de organisatie, het geven en volgen van onderwijs, ter ondersteuning van het leren, het begeleiden en volgen van leerlingen of studenten, of het geven van school- en studieadviezen door de onderwijsinstelling. Afspraken over overige vormen van onderzoek en analyse zijn geregeld in artikel 5 lid 1 en artikel 5 lid 2, onder f en g en vallen buiten de reikwijdte van artikel 5, lid 1, onder a. In artikel 5, lid 2 onder a zijn (voorbeeld)verwerkingen opgenomen die zien op bijhouden van persoonlijke omstandigheden, begeleiden en ondersteunen van leerkrachten en andere medewerkers, communicatie met de leerlingen, ouders en medewerkers van de onderwijsinstelling en monitoring en verantwoording. Deze voorbeelden zijn niet in de tekst opgenomen onder artikel 5, lid 1. De reden dat deze verwerkingen als voorbeeld zijn opgenomen onder artikel 5, lid 2 is gelegen in het feit dat specifieke school- en leerlinginformatiesystemen primair gericht zijn op deze Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 16 van 20

17 verwerkingen. Ook binnen leermiddelen en toetsen kunnen functionaliteiten zijn opgenomen en verwerkingen plaatsvinden die neerkomen op bijvoorbeeld communicatie naar ouders, het bijhouden van omstandigheden, monitoring of begeleiding van medewerkers, omdat sprake is van functionaliteiten ten behoeve van het geven en volgen van onderwijs en het begeleiden en volgen van leerlingen. Leermiddelen en toetsen zijn doorgaans echter niet primair gericht op de genoemde functionaliteiten. Bij de communicatie met de leerlingen, ouders en medewerkers van de onderwijsinstelling gaat het om een functionaliteit van het school- en leerlinginformatiesysteem waarbij vanuit de onderwijsinstelling onder meer informatie wordt gedeeld over de onderwijsinstelling, beschikbare middelen en roosters, leerlingen, en de activiteiten van de onderwijsinstelling. Onder financieel beheer valt onder meer het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten (inclusief het in handen van derden stellen van vorderingen). Tevens valt daaronder het verkrijgen van inzicht in financiële ontwikkelingen en (bron)bekostiging plus de afwikkeling daarvan, en het doen uitoefenen van accountantscontrole. Onder monitoring en verantwoording, valt met name de prestatiemeting van de onderwijsinstelling en rapportage aan bijvoorbeeld de Onderwijsinspectie en ouders, de meting van tevredenheid van leerlingen, ouders en medewerkers, de meting van effectiviteit van de onderwijsvorm, en ten behoeve van de geboden ondersteuning van leerlingen of studenten bij passend onderwijs. Artikel 5 lid 1 en 5 lid 2, onderdeel b t/m I De onderdelen van b t/m I van artikel 5 lid 1 en lid 2, zien op doeleinden die identiek zijn voor zowel de verwerking van persoonsgegevens met behulp van leermiddelen en toetsen, als de verwerking van persoonsgegevens met behulp van school- en leerlinginformatiesystemen. Onderdeel b ziet op het verwerken van gegevens welke noodzakelijk is voor de levering van een digitaal onderwijsmiddel via bijvoorbeeld een distributeur en de incasso van gerelateerde gelden. Onderdeel c ziet op het verwerken van gegevens welke noodzakelijk is om als betrokkene zoals de leerling of student toegang te krijgen tot een digitaal onderwijsmiddel of een extern informatiesysteem, bijvoorbeeld via Basispoort, Stichting Edu-iX, of de Entree federatie. Onderdeel d ziet op het verwerken van persoonsgegevens om controle uit te kunnen oefenen of bijvoorbeeld geen misbruik is of wordt gemaakt van het digitale onderwijsmiddel, en ziet bijvoorbeeld ook op het door een verwerker kunnen maken van een back-up van de gegevens. Onderdeel e ziet onder meer op het verwerken van persoonsgegevens door een servicedesk van de verwerker die voor de uitvoering van het werk toegang nodig heeft tot de persoonsgegevens, bijvoorbeeld om storingen te verhelpen, of om ondersteuning te bieden als een leerling of student geen toegang krijgt tot het digitale onderwijsmiddel. Onder deze doelstelling valt nadrukkelijk niet het verwerken van gegevens ten behoeve van de productverbetering van de leveranciers. Onderdeel f: Onder deze doelstelling valt het in opdracht van de onderwijsinstelling verstrekken van leerresultaten aan externe partijen ten behoeve van onderzoek. Een voorbeeld hiervan is een onderzoek naar leeropbrengsten door een universiteit. Convenant Digitale onderwijsmiddelen en privacy - Versie 3.0 maart 2018 Pagina 17 van 20